Datenschutzerklärung (TerminHero.app)

Diese Datenschutzerklärung informiert Sie über Art, Umfang, Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten innerhalb der Anwendung TerminHero.app sowie über Ihre Rechte als betroffene Person.

1) Verantwortlicher

4xDU KI-Agentur GmbH
Andritzer Reichsstraße 89
8046 Graz
Österreich
E-Mail: helloworld@4xdu.at

2) Kategorien personenbezogener Daten

  • Stammdaten: Name, E-Mail-Adresse, ggf. Telefonnummer.
  • Termindaten: Termin- und Kategoriedaten, ggf. Notizen, Wunschzeiten.
  • Nutzungs-/Logdaten: technische Ereignisse, IP-Adresse, Zeitstempel, Fehler-/Sicherheitslogs.
  • Kommunikationsdaten: Nachrichten über E-Mail oder WhatsApp (Twilio).
  • Google-Konto-/API-Daten (bei Verknüpfung): E-Mail-Adresse des Google-Kontos, Kalenderliste zur Auswahl eines Zielkalenders sowie Kalendereinträge, soweit für das Anlegen/Ändern/Löschen von Terminen im ausgewählten Kalender erforderlich.

Hinweis zu besonderen Kategorien (Art. 9 DSGVO): TerminHero benötigt grundsätzlich keine Gesundheitsdaten oder sonstige besondere Kategorien. Bitte geben Sie solche Inhalte nicht im Freitext an. Sofern Sie diese dennoch freiwillig eintragen (z. B. in Terminnotizen), verarbeiten wir sie ausschließlich zur Bereitstellung der gewünschten Funktion und sichern sie nach dem in Abschnitt 5 beschriebenen Standard besonders ab.

3) Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)

  • Bereitstellung der Terminverwaltung / Buchungsfunktionen: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 b).
  • Google-Kalender-Verknüpfung (OAuth): Durchführung der gewünschten Synchronisation auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 a). Widerruf jederzeit möglich (siehe Abschnitt 8).
  • Sicherheits- und Fehleranalyse (Logs): berechtigtes Interesse an Stabilität, Sicherheit und Missbrauchsprävention (Art. 6 Abs. 1 f).
  • Kommunikation (Support, Benachrichtigungen, WhatsApp/E-Mail): Vertrag/Einwilligung – je nach Kontext (Art. 6 Abs. 1 b oder a).

4) Nutzung von Google-APIs (OAuth) & angeforderte Scopes

Wenn Sie Ihren Google-Kalender verbinden, verwendet TerminHero OAuth 2.0 und fragt nur die für die Funktion notwendigen Berechtigungen an (Prinzip der Datensparsamkeit). Der genaue Umfang ist im Zustimmungsdialog sichtbar.

Basis (Anmeldung/Identität – optional, falls Google-Login genutzt wird):

  • openid
  • https://www.googleapis.com/auth/userinfo.email

Kalenderfunktionen (Terminverwaltung):

  • https://www.googleapis.com/auth/calendar.events (Termine anlegen, ändern, löschen und lesen im ausgewählten Kalender)
  • https://www.googleapis.com/auth/calendar.calendarlist.readonly (Kalenderliste laden, um den Zielkalender auszuwählen)

Transparenz & Datenminimierung: Es werden ausschließlich die oben genannten Kalender-Scopes genutzt; „restricted scopes“ (z. B. Gmail/Drive) werden nicht verwendet. Speicherung erfolgt nur im zur Synchronisation erforderlichen Umfang.

5) Datenschutz-Mechanismen & Google „Limited Use“

  • Transport- und Ruheschutz: durchgängige TLS-Verschlüsselung; Speicherung in verschlüsselten Datenbanken/Backups.
  • Token-Sicherheit: OAuth-Zugriffs-/Refresh-Tokens werden getrennt und verschlüsselt gespeichert; Rotation gemäß Anbieter-Vorgaben; Löschung nach Widerruf/Trennung (Abschnitt 8).
  • Least-Privilege: Es werden nur die für die jeweilige Funktion minimal erforderlichen Berechtigungen angefordert.
  • Limited Use – Nutzung nur für sichtbare Funktionen: Google-Nutzerdaten werden ausschließlich zur Bereitstellung/Verbesserung der für den Nutzer prominenten Funktionen genutzt; keine Nutzung zu Werbe-/Verkaufszwecken.
  • Kein unbegründetes menschliches Lesen: Einsicht nur (i) mit Ihrer ausdrücklichen Zustimmung, (ii) zu Sicherheits-/Fehleranalyse, (iii) zur Erfüllung rechtlicher Pflichten oder (iv) in aggregierter Form.
  • Protokollierung & Monitoring: sicherheitsrelevante Ereignisse werden protokolliert und regelmäßig überprüft.

6) Empfänger / Auftragsverarbeiter

Eine Weitergabe erfolgt nur, soweit für die Zwecke dieser App erforderlich oder gesetzlich erlaubt:

  • Google (Google Ireland/LLC): OAuth/Calendar-API zur Kontoverknüpfung und Synchronisation.
  • Twilio Inc.: Versand/Empfang von Nachrichten (z. B. WhatsApp) zur Terminabwicklung.
  • Hosting/IT-Dienstleister: Infrastruktur/Serverbetrieb, Monitoring, E-Mail-Versand.

Mit sämtlichen Auftragsverarbeitern bestehen Vereinbarungen nach Art. 28 DSGVO. Datenübermittlungen in Drittländer erfolgen auf Basis geeigneter Garantien (z. B. EU-Standardvertragsklauseln; ggf. EU-US Data Privacy Framework) einschließlich zusätzlicher Schutzmaßnahmen.

7) Speicherdauer & Löschung

  • Kontodaten: für die Dauer der Nutzung; nach Kontolöschung werden aktive Datensätze in der Regel binnen 30 Tagen gelöscht; Sicherungsdaten werden turnusmäßig überschrieben.
  • OAuth-Tokens/Google-Verknüpfung: bei Widerruf oder Trennung werden Tokens unverzüglich invalidiert und in der Regel binnen 24 Stunden gelöscht.
  • Termindaten: solange für Vertrag/Abwicklung nötig; gesetzliche Aufbewahrungspflichten bleiben unberührt.
  • Protokolle/Sicherheitslogs: in der Regel 90 Tage.
  • Supportfälle: in der Regel 24 Monate (Nachvollziehbarkeit).

8) Ihre Wahlmöglichkeiten & Widerruf

  • Zugriff entziehen / Verbindung trennen: Sie können die Google-Verknüpfung jederzeit in TerminHero trennen oder in Ihrem Google-Konto unter „Apps mit Zugriff auf Ihr Konto“ den Zugriff entfernen. URL: https://myaccount.google.com/permissions
  • Einwilligungen widerrufen: Ein Widerruf wirkt für die Zukunft und lässt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung unberührt.

9) Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (z. B. Session-Cookies für Login/Sicherheit). Es findet keine Analyse- oder Marketing-Cookie-Verwendung statt.

10) Betroffenenrechte

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter helloworld@4xdu.at.
Sie haben außerdem das Recht, bei der Österreichischen Datenschutzbehörde Beschwerde zu erheben (Barichgasse 40-42, 1030 Wien, E-Mail: dsb@dsb.gv.at).

11) Sicherheit & Meldung von Datenschutzvorfällen

Wir betreiben ein Informationssicherheits-Konzept mit technischen und organisatorischen Maßnahmen (siehe Abschnitt 5). Bei meldepflichtigen Vorfällen erfüllen wir die gesetzlichen Melde- und Benachrichtigungspflichten gemäß DSGVO.

12) Transparenz zu Google-Vorgaben

Unsere App und diese Datenschutzerklärung sind auf derselben bzw. einer verbundenen Domain erreichbar wie die App-Startseite. Die Datenschutzerklärung ist von der Startseite aus leicht auffindbar und mit dem OAuth-Zustimmungsdialog verknüpft. Wir halten die Google API Services User Data Policy einschließlich der Limited-Use-Anforderungen ein.

Referenzen (reine Text-URLs):

  • Google API Services User Data Policy / Limited Use: https://developers.google.com/terms/api-services-user-data-policy
  • Consent-Konfiguration & Scope-Auswahl (Minimalprinzip): https://developers.google.com/workspace/guides/configure-oauth-consent
  • OAuth-Scopes (Übersicht): https://developers.google.com/identity/protocols/oauth2/scopes
  • Zugriff im Google-Konto entziehen: https://myaccount.google.com/permissions

13) Änderungen

Wir können diese Datenschutzerklärung anpassen, wenn sich Funktionen, Rechtslagen oder Vorgaben ändern. Die jeweils aktuelle Fassung ist unter dem im OAuth-Zustimmungsbildschirm hinterlegten Link verfügbar.

Anhang: aktuell genutzte Google-Scopes (TerminHero.app)

Basis (Anmeldung/Identität – optional):

openid
https://www.googleapis.com/auth/userinfo.email

Kalender (Terminverwaltung):

https://www.googleapis.com/auth/calendar.events
https://www.googleapis.com/auth/calendar.calendarlist.readonly

Stand: 27.10.2025